Firma de securitate IT Check Point Research a descoperit un sistem de scurgere a portofelului cripto care a folosit „tehnici avansate de evaziune” în magazinul Google Play pentru a fura peste 70.000 USD în cinci luni.

Aplicația rău intenționată s-a deghizat în protocolul WalletConnect, o aplicație binecunoscută în spațiul cripto care poate conecta o varietate de portofele cripto la aplicații financiare descentralizate (DeFi).

Compania a declarat într-o postare pe blog din 26 septembrie că marchează „prima dată când drenoarele au vizat exclusiv utilizatorii de telefonie mobilă”.

„Recenzii false și brandingul consecvent au ajutat aplicația să obțină peste 10.000 de descărcări prin clasarea în fruntea rezultatelor căutării”, a spus Check Point Research.

Peste 150 de utilizatori au fost epuizați de aproximativ 70.000 USD - nu toți utilizatorii de aplicații au fost vizați, deoarece unii nu au conectat un portofel sau au văzut că este o înșelătorie. Alții „s-ar putea să nu fi îndeplinit criteriile specifice de direcționare ale malware-ului”, a spus Check Point Research.

Unele dintre recenziile false ale aplicației falsificate WalletConnect au menționat funcții care nu au nicio legătură cu criptomoneda. Sursa: Check Point Research

A adăugat că aplicația falsă a fost pusă la dispoziție pe magazinul de aplicații Google pe 21 martie și a folosit „tehnici avansate de evaziune” pentru a rămâne nedetectată timp de peste cinci luni. Acum a fost eliminat.

Aplicația a fost publicată pentru prima dată sub numele „Mestox Calculator” și a fost schimbată de mai multe ori, în timp ce adresa URL a aplicației sale încă indica un site web aparent inofensiv cu un calculator. 

„Această tehnică permite atacatorilor să treacă procesul de examinare a aplicației în Google Play, deoarece verificările automate și manuale vor încărca aplicația de calculator „inofensivă”,” au spus cercetătorii. 

Cu toate acestea, în funcție de locația adresei IP a utilizatorului și dacă foloseau un dispozitiv mobil, aceștia au fost redirecționați către back-end-ul aplicației rău intenționate care găzduia software-ul de drenare a portofelului MS Drainer.

O diagramă a modului în care a funcționat aplicația falsă WalletConnect pentru a scurge anumite fonduri ale utilizatorilor. Sursa: Check Point Research

La fel ca și alte scheme de epuizare a portofelului, aplicația falsă WalletConnect a determinat utilizatorii să conecteze un portofel, ceea ce nu ar fi fost suspect din cauza modului în care funcționează aplicația reală.

Utilizatorilor li se cere apoi să accepte diverse permisiuni pentru a „verifica portofelul”, ceea ce acordă permisiunea adresei atacatorului „de a transfera suma maximă a activului specificat”, a spus Check Point Research.

„Aplicația preia valoarea tuturor activelor din portofelele victimei. Mai întâi încearcă să retragă jetoanele mai scumpe, urmate de cele mai ieftine”, a adăugat acesta.

„Acest incident evidențiază sofisticarea tot mai mare a tacticilor criminale cibernetice”, a scris Check Point Research. „Aplicația rău intenționată nu s-a bazat pe vectori de atac tradiționali, cum ar fi permisiunile sau înregistrarea tastelor. În schimb, a folosit contracte inteligente și legături profunde pentru a scurge în tăcere activele odată ce utilizatorii au fost păcăliți să folosească aplicația.”

Acesta a adăugat că utilizatorii trebuie să fie „feriți la aplicațiile pe care le descarcă, chiar și atunci când par legitime” și că magazinele de aplicații trebuie să își îmbunătățească procesul de verificare pentru a opri aplicațiile rău intenționate.

„Comunitatea cripto trebuie să continue să educe utilizatorii cu privire la riscurile asociate cu tehnologiile Web3”, au spus cercetătorii. „Acest caz ilustrează că chiar și interacțiunile aparent inofensive pot duce la pierderi financiare semnificative.”

Google nu a răspuns imediat unei solicitări de comentarii.

Crypto-Sec: 2 auditori ratează defectul Penpie de 27 de milioane de dolari, bug-ul Pythia de „revendicare a recompenselor”